ASH:慢雾 AML：“揭开” Tornado.Cash 的匿名面纱

By：Lisa@慢雾AML团队

随着DeFi、NFT、跨链桥等项目的火热发展，黑客攻击事件也层出不穷。有趣的是，据慢雾统计，80%的黑客在洗币过程中都使用了混币平台Tornado.Cash，本文以KuCoin被盗事件为例，试图从追踪分析过程中找到一丝揭开Tornado.Cash匿名性的可能。

事件概述

据KuCoin官网公告，北京时间2020年9月26日凌晨，KuCoin交易所的热钱包地址出现大量异常的代币提现，涉及BTC、ETH等主流币以及LINK、OCEN等多种代币，牵动了无数用户的心。

图1

据慢雾AML团队统计，本次事件被盗资金超2.7亿美元，具体如下图：

慢雾：Distrust发现严重漏洞，影响使用Libbitcoin Explorer3.x版本的加密钱包:金色财经报道，据慢雾区消息，Distrust 发现了一个严重的漏洞，影响了使用 Libbitcoin Explorer 3.x 版本的加密货币钱包。该漏洞允许攻击者通过破解 Mersenne Twister 伪随机数生成器（PRNG）来访问钱包的私钥，目前已在现实世界中造成了实际影响。

漏洞详情：该漏洞源于 Libbitcoin Explorer 3.x 版本中的伪随机数生成器（PRNG）实现。该实现使用了 Mersenne Twister 算法，并且仅使用了 32 位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。

影响范围：该漏洞影响了所有使用 Libbitcoin Explorer 3.x 版本生成钱包的用户，以及使用 libbitcoin-system 3.6 开发库的应用。

已知受影响的加密货币包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

风险评估：由于该漏洞的存在，攻击者可以访问并控制用户的钱包，从而窃取其中的资金。截至 2023 年 8 月，已有超过 $900,000 美元的加密货币资产被盗。

解决方案：我们强烈建议所有使用 Libbitcoin Explorer 3.x 版本的用户立即停止使用受影响的钱包，并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。[2023/8/10 16:18:20]

图2

慢雾：PancakeBunny被黑是一次典型利用闪电贷操作价格的攻击:币安智能链上DeFi收益聚合器PancakeBunny项目遭遇闪电贷攻击，慢雾安全团队解析：这是一次典型的利用闪电贷操作价格的攻击，其关键点在于WBNB-BUNNYLP的价格计算存在缺陷，而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式，最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格，使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。慢雾安全团队建议，在涉及到此类LP价格计算时可以使用可信的延时喂价预言机进行计算或者参考此前AlphaFinance团队。[2021/5/20 22:24:55]

值得注意的是，我们全面追踪后发现黑客在这次攻击事件中大量使用了Tornado.Cash来清洗ETH。在这篇文章中，我们将着重说明黑客如何将大量ETH转入到Tornado.Cash，并对Tornado.Cash的转出进行分析，以分解出被盗资金可能流向的地址。

Tornado.Cash是什么？

Tornado.Cash是一种完全去中心化的非托管协议，通过打破源地址和目标地址之间的链上链接来提高交易隐私。为了保护隐私，Tornado.Cash使用一个智能合约，接受来自一个地址的ETH和其他代币存款，并允许他们提款到不同的地址，即以隐藏发送地址的方式将ETH和其他代币发送到任何地址。这些智能合约充当混合所有存入资产的池，当你将资金放入池中时，就会生成私人凭据，证明你已执行了存款操作。而后，此私人凭据作为你提款时的私钥，合约将ETH或其他代币转移给指定的接收地址，同一用户可以使用不同的提款地址。

现场 | 慢雾海贼王：保障安全需找专业安全团队做专业审计:金色财经现场报道，在今日万向区块链实验室举办的2018区块链·新经济第四届区块链全球峰会上，慢雾安全负责人海贼王称，一笔合法交易的USDT，至少需要满足以下两个条件：(1)要通过比特币的交易来构造，要符合比特币的余额验证及交易规则验证；(2)要通过USDT自己的余额验证。他总结说，要保障安全，需找专业的安全团队做专业的审计。[2018/9/10]

如何转入？

攻击得手后，黑客开始大范围地将资金分批转移到各大交易所，但还没来得及变现就被多家交易所冻结了。在经历了白忙一场的后，黑客将目光转向了DeFi。

据慢雾AML旗下MistTrack反追踪系统显示，黑客(0xeb31...c23)先将ERC20代币分散到不同的地址，接着使用Uniswap、1inch和Kyber将多数ERC20代币换成了ETH。

动态 | 慢雾区：已修复EOS智能合约底层asset类溢出缺陷:据慢雾区消息， EOS智能合约底层asset类存在溢出缺陷，目前 EOSIO v1.1.4版本已修复该问题。如果智能合约中使用到了 asset的乘法操作，建议更新对应的代码并重新编译合约。因为像 asset这样的工具代码是静态编译进合约中的，必须重新编译才能解决其中的安全隐患。[2018/8/9]

图3

大部分ERC20代币兑换成ETH后，被整合到了以下主要地址：

表1

在对ETH和ERC20代币进行完整追踪后，我们梳理出了资金是如何在黑客地址间移动，并分解出了资金是以怎样的方式进入Tornado.Cash。

动态 | 慢雾区表示Augur重大漏洞是一个典型的前端黑攻击:据慢雾区消息，此前报道的去中心化预测市场平台 Augur 被曝发现重大漏洞问题是一个典型的前端黑攻击。这种攻击依赖一些条件，比如攻击者需要准备好一个页面链接（不是 Augur 链接），并无论通过什么手法能让安装了 Augur 的用户访问到，然后用户需要重启 Augur 应用，这样才能形成后续的攻击。由于此时 Augur 应用里配置的 Augur 节点地址被替换了，后续的攻击本质就是一种 MITM（中间人）攻击，理论上确实可以做很多恶事。慢雾安全团队特此提醒：这是前端黑攻击里的跨私有域攻击的一种常见手法，其他项目方也应该注意。[2018/8/8]

图4

黑客将资金按时间先后顺序转入Tornado.Cash的详情如下：

表2

转到了哪？

猜想

1.巨额的ETH进入Tornado.Cash，会集中表现出一些可追踪的特征。2.以黑客急于变现的行为分析，猜想黑客将资金存入Tornado.Cash后会随即提款，或下次存入时提款。3.分析攻击者使用洗币平台的方式和行为，可以获得资金的转移地址。

可能的链上行为

1.资金从Tornado.Cash转出的时间范围与黑客将资金转入Tornado.Cash的时间范围近似。2.一定时间段内，从Tornado.Cash转出的资金会持续转出到相同地址。

验证

以黑客地址(0x34a...c6b)为例：

如表2结果所述，黑客在2020-10-2316:06:28~2020-10-2610:32:24(UTC)间，以每次100ETH，存115次的方式将11,500ETH存入Tornado.Cash。为了方便说明，我们只截取了该地址在2020-10-243:00:07~6:28:33(UTC)间的存款记录，如下图：

图5

接着，我们查看_Tornado.Cash:100ETH_合约的交易记录，找到地址(0x34a...c6b)在同一时间段的存款记录，下图红框地址(0x82e...398)在此时间段内大量提款的异常行为引起了我们的注意。

图6

查看该地址(0x82e...398)在此时间段的交易哈希，发现该地址并没有将ETH提款给自己，而是作为一个合约调用者，将ETH都提款到了地址(0xa4a...22f)。

图7

图8

同样的方式，得出黑客地址(0x34a...c6b)经由Tornado.Cash提款分散到了其他地址，具体如下：

表3

经过核对，发现从Tornado.Cash提款到表3中六个地址的数额竟与黑客存款数额11,500ETH一致，这似乎验证了我们的猜想。对其他地址的分析方法同理。

接着，我们继续对这六个地址进行追踪分析。据MistTrack反追踪系统展示，黑客将部分资金以50~53ETH不等转向了ChangeNOW、CoinSwitch、Binance等交易平台，另一部分资金进入第二层后也被黑客转入了上述交易平台，试图变现。

图9

总结

本文主要说明了黑客是如何试图使用Tornado.Cash来清洗盗窃的ETH，分析结果不由得让我们思考：Tornado.Cash真的完全匿名吗？一方面，既然能分析出部分提款地址，说明不存在绝对的匿名；另一方面，匿名性是具备的，或许只是Tornado.Cash不适合在短时间内混合如此大规模的资金而已。

截止目前，KuCoin官方表示已联合交易所、项目方、执法和安全机构追回约2.4亿美元资金。从各种攻击事件看来，DeFi或许已成为黑客转移资金的通道，而今监管已至，合规化的脚步愈发逼近，有合规需求的项目方，可以考虑接入慢雾AML系统(aml.slowmist.com)，即使黑客使用了DeFi，也无处遁形。

标签：CASCASHASHTornado.CashZero Knowledge Podcastzcash币挖矿CCAS

PEPE热门资讯